網(wǎng)絡(luò)安全問題不斷增加,網(wǎng)絡(luò)安全問題帶來的影響范圍不斷加大�����。因此�����,網(wǎng)絡(luò)不再是法律不管地帶���,因此針對(duì)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)紛紛出臺(tái)��,其中包括《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度�。對(duì)于你所運(yùn)營(yíng)的網(wǎng)絡(luò)設(shè)備�����、系統(tǒng)和網(wǎng)站等,一旦出現(xiàn)網(wǎng)絡(luò)安全問題����,會(huì)損害國(guó)家利益、社會(huì)利益和人民利益的���,都需要落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度��。因此�,依法開展網(wǎng)絡(luò)安全等級(jí)保護(hù)備案工作��,定級(jí)為等保二級(jí)以上的建議開展等級(jí)保護(hù)測(cè)評(píng)制度�����。等級(jí)保護(hù)三級(jí)必須每年進(jìn)行等級(jí)保護(hù)測(cè)評(píng)���。
為什么要做等級(jí)保護(hù)測(cè)評(píng)��,主要原因有以下幾個(gè):
第一�、開展等保的最重要原因是為了通過等級(jí)保護(hù)測(cè)評(píng)工作���,發(fā)現(xiàn)單位系統(tǒng)內(nèi)�、外部存在的安全風(fēng)險(xiǎn)和脆弱性,通過整改之后�,提高信息系統(tǒng)的信息安全防護(hù)能力,降低系統(tǒng)被各種攻擊的風(fēng)險(xiǎn)����。一般用戶單位內(nèi)部系統(tǒng)較多��,用途不一樣��,受眾群體和使用用戶也不一樣���,那我們就需要通過等級(jí)保護(hù)去梳理和分析我們現(xiàn)有的信息系統(tǒng)���,將不同系統(tǒng)分不同重要等級(jí)進(jìn)行分等級(jí)保護(hù),這就是等保的定級(jí)工作��。
梳理出了不同等級(jí)的系統(tǒng)后�,我們就要對(duì)不同系統(tǒng)進(jìn)行不同等級(jí)的安全防護(hù)建設(shè),保證重要的信息系統(tǒng)在有攻擊的情況下能夠很好地抵御攻擊或者被攻擊后能夠快速的恢復(fù)應(yīng)用���,不造成重大損失或影響���。
第二����、等級(jí)保護(hù)是我國(guó)關(guān)于信息安全的基本政策���,《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27 號(hào)����,以下簡(jiǎn)稱“27
號(hào)文件”)明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度,提出“抓緊建立信息安全等級(jí)保護(hù)制度���,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”���。2007年6月發(fā)布的關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知(公通字[2007]43
號(hào),以下簡(jiǎn)稱“43號(hào)文件”)規(guī)定了實(shí)施信息安全等級(jí)保護(hù)制度的原則�、內(nèi)容、職責(zé)分工���、基本要求和實(shí)施計(jì)劃�����,部署了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法���。
2016年11月7日第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過《中華人民共和國(guó)網(wǎng)絡(luò)安全法》����,網(wǎng)絡(luò)安全法第二十一條明確規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度��。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求���,履行下列安全保護(hù)義務(wù)�,保障網(wǎng)絡(luò)免受干擾�����、破壞或者未經(jīng)授權(quán)的訪問�,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取�����、篡改���。
簡(jiǎn)單總結(jié)下就是國(guó)家法律法規(guī)�、相關(guān)政策制度要求我們?nèi)ラ_展等級(jí)保護(hù)工作���,不做就不合規(guī)����,就違法。
第三�����、很多行業(yè)主管單位要求行業(yè)客戶開展等級(jí)保護(hù)工作����,目前已經(jīng)下發(fā)行業(yè)要求文件的有:金融、電力��、廣電��、醫(yī)療����、教育等行業(yè),還有一些主管單位發(fā)過相關(guān)文件或通知要求去做�����。另外信息安全主管單位要求我們?nèi)ラ_展等級(jí)保護(hù)工作�,主要有:公安、網(wǎng)信辦、經(jīng)信委���、通管局等行業(yè)主管單位�����。
所以不做等保的話���,沒法向相關(guān)主管單位和行業(yè)領(lǐng)導(dǎo)們交待。
第四��、合理地規(guī)避風(fēng)險(xiǎn)�。每年都會(huì)出現(xiàn)一些大的信息安全事件,我們?nèi)粘=?jīng)常聽到或看到的有�����,某某網(wǎng)站網(wǎng)頁(yè)被篡改了�,用戶敏感信息被泄露了�����,更多的一些小范圍安全事件我們不清楚����,但是在發(fā)生����。那么發(fā)生比較大的安全事件�����,首先主管單位們要去現(xiàn)場(chǎng)調(diào)查�,首先就會(huì)看我們到底有沒開展等級(jí)保護(hù)工作,那么如果你沒有��,最直接的一個(gè)結(jié)論就是你的信息安全工作沒有開展好����,沒有開展到位,國(guó)家最基本的信息安全等級(jí)保護(hù)工作都沒做��,你說你買了很多防火墻���,很多安全設(shè)備���,那都是說不清道不明的,不如你實(shí)實(shí)在在拿出備案證明�,拿出測(cè)評(píng)報(bào)告說服力強(qiáng)。出了問題難免就會(huì)被通報(bào)批評(píng),被勒令下線整改�����,那么開展了等級(jí)保護(hù)工作和沒有開展等級(jí)保護(hù)工作被通報(bào)的內(nèi)容就顯然不同了�,這里就不展開了,只可意會(huì)不可言傳����。最簡(jiǎn)單的例子:一個(gè)主觀上重視安全工作但是因?yàn)榧夹g(shù)還不夠好而被攻擊造成破壞和一個(gè)主觀上都不重視安全工作被攻擊造成破壞的情況,孰輕孰重���,一目了然�。但是怎么叫主觀上重視呢?等保工作有沒有開展就是衡量的一個(gè)重要標(biāo)準(zhǔn)�����,因?yàn)榈燃?jí)保護(hù)是國(guó)家基本信息安全制度要求�。
原因分析了���,那等保的意義也就有了:
一��、降低信息安全風(fēng)險(xiǎn)�,提高信息系統(tǒng)的安全防護(hù)能力;
二、滿足國(guó)家相關(guān)法律法規(guī)和制度的要求;
三�、滿足相關(guān)主管單位和行業(yè)要求;
四、合理地規(guī)避或降低風(fēng)險(xiǎn)
上述原因內(nèi)容�,主要轉(zhuǎn)載自上海等保測(cè)評(píng)中心的微信公眾號(hào)的《為什么要做等級(jí)保護(hù)測(cè)評(píng)?》一文,便于大家了解為什么要做等級(jí)保護(hù)測(cè)評(píng)��。
等保測(cè)評(píng)咨詢
